vendor/symfony/framework-bundle/Command/SecretsGenerateKeysCommand.php line 36

  1. <?php
  3. /*
  4.  * This file is part of the Symfony package.
  5.  *
  6.  * (c) Fabien Potencier <fabien@symfony.com>
  7.  *
  8.  * For the full copyright and license information, please view the LICENSE
  9.  * file that was distributed with this source code.
  10.  */
  12. namespace Symfony\Bundle\FrameworkBundle\Command;
  14. use Symfony\Bundle\FrameworkBundle\Secrets\AbstractVault;
  15. use Symfony\Component\Console\Attribute\AsCommand;
  16. use Symfony\Component\Console\Command\Command;
  17. use Symfony\Component\Console\Input\InputInterface;
  18. use Symfony\Component\Console\Input\InputOption;
  19. use Symfony\Component\Console\Output\ConsoleOutputInterface;
  20. use Symfony\Component\Console\Output\OutputInterface;
  21. use Symfony\Component\Console\Style\SymfonyStyle;
  23. /**
  24.  * @author Tobias Schultze <http://tobion.de>
  25.  * @author Jérémy Derussé <jeremy@derusse.com>
  26.  * @author Nicolas Grekas <p@tchwork.com>
  27.  *
  28.  * @internal
  29.  */
  30. #[AsCommand(name'secrets:generate-keys'description'Generate new encryption keys')]
  31. final class SecretsGenerateKeysCommand extends Command
  32. {
  33.     private AbstractVault $vault;
  34.     private ?AbstractVault $localVault;
  36.     public function __construct(AbstractVault $vaultAbstractVault $localVault null)
  37.     {
  38.         $this->vault $vault;
  39.         $this->localVault $localVault;
  41.         parent::__construct();
  42.     }
  44.     protected function configure()
  45.     {
  46.         $this
  47.             ->addOption('local''l'InputOption::VALUE_NONE'Update the local vault.')
  48.             ->addOption('rotate''r'InputOption::VALUE_NONE'Re-encrypt existing secrets with the newly generated keys.')
  49.             ->setHelp(<<<'EOF'
  50. The <info>%command.name%</info> command generates a new encryption key.
  52.     <info>%command.full_name%</info>
  54. If encryption keys already exist, the command must be called with
  55. the <info>--rotate</info> option in order to override those keys and re-encrypt
  56. existing secrets.
  58.     <info>%command.full_name% --rotate</info>
  59. EOF
  60.             )
  61.         ;
  62.     }
  64.     protected function execute(InputInterface $inputOutputInterface $output): int
  65.     {
  66.         $io = new SymfonyStyle($input$output instanceof ConsoleOutputInterface $output->getErrorOutput() : $output);
  67.         $vault $input->getOption('local') ? $this->localVault $this->vault;
  69.         if (null === $vault) {
  70.             $io->success('The local vault is disabled.');
  72.             return 1;
  73.         }
  75.         if (!$input->getOption('rotate')) {
  76.             if ($vault->generateKeys()) {
  77.                 $io->success($vault->getLastMessage());
  79.                 if ($this->vault === $vault) {
  80.                     $io->caution('DO NOT COMMIT THE DECRYPTION KEY FOR THE PROD ENVIRONMENT⚠️');
  81.                 }
  83.                 return 0;
  84.             }
  86.             $io->warning($vault->getLastMessage());
  88.             return 1;
  89.         }
  91.         $secrets = [];
  92.         foreach ($vault->list(true) as $name => $value) {
  93.             if (null === $value) {
  94.                 $io->error($vault->getLastMessage());
  96.                 return 1;
  97.             }
  99.             $secrets[$name] = $value;
  100.         }
  102.         if (!$vault->generateKeys(true)) {
  103.             $io->warning($vault->getLastMessage());
  105.             return 1;
  106.         }
  108.         $io->success($vault->getLastMessage());
  110.         if ($secrets) {
  111.             foreach ($secrets as $name => $value) {
  112.                 $vault->seal($name$value);
  113.             }
  115.             $io->comment('Existing secrets have been rotated to the new keys.');
  116.         }
  118.         if ($this->vault === $vault) {
  119.             $io->caution('DO NOT COMMIT THE DECRYPTION KEY FOR THE PROD ENVIRONMENT⚠️');
  120.         }
  122.         return 0;
  123.     }
  124. }